Các tin tặc đang tận dụng kho lưu trữ GitHub công cộng để lưu trữ các đoạn mã độc hại và phát tán chúng thông qua phần mềm độc hại Amadey. Đây là một phần của chiến dịch được phát hiện vào tháng 4 năm 2025.
Các nhà nghiên cứu Chris Neal và Craig Jackson của Cisco Talos cho biết: “Các nhà điều hành MaaS (malware-as-a-service – phần mềm độc hại như một dịch vụ) đã sử dụng các tài khoản GitHub giả mạo để lưu trữ các đoạn mã độc hại, công cụ và các plug-in của Amadey, có khả năng là một nỗ lực để vượt qua bộ lọc web và để dễ sử dụng hơn”.
Công ty an ninh mạng cho biết chuỗi tấn công này khai thác một trình tải phần mềm độc hại có tên là Emmenhtal (hay còn gọi là PEAKLIGHT) để phân phối Amadey. Đến lượt mình, Amadey tải xuống nhiều đoạn mã tùy chỉnh khác nhau từ các kho lưu trữ GitHub công cộng do những kẻ tấn công điều hành.
Hoạt động này có những điểm tương đồng về chiến thuật với một chiến dịch lừa đảo qua email. Chiến dịch này sử dụng các mồi nhử liên quan đến thanh toán hóa đơn để phát tán SmokeLoader thông qua Emmenhtal vào tháng 2 năm 2025 trong các cuộc tấn công nhắm vào các tổ chức Ukraine.
Cả Emmenhtal và Amadey đều hoạt động như một trình tải xuống cho các đoạn mã độc hại thứ cấp, chẳng hạn như các phần mềm đánh cắp thông tin. Tuy nhiên, Amadey cũng đã từng được phát hiện phát tán ransomware như LockBit 3.0 trong quá khứ.
Một điểm khác biệt quan trọng khác giữa hai họ phần mềm độc hại này là không giống như Emmenhtal, Amadey có thể thu thập thông tin hệ thống và có thể được mở rộng về mặt tính năng với một loạt các plug-in DLL cho phép một chức năng cụ thể, chẳng hạn như đánh cắp thông tin đăng nhập hoặc chụp ảnh màn hình.
Phân tích của Cisco Talos về chiến dịch tháng 4 năm 2025 đã phát hiện ra ba tài khoản GitHub (Legendary99999, DFfe9ewf và Milidmdds) đang được sử dụng để lưu trữ các plug-in Amadey, các đoạn mã độc hại thứ cấp và các tập lệnh tấn công độc hại khác, bao gồm Lumma Stealer, RedLine Stealer và Rhadamanthys Stealer. Các tài khoản này đã bị GitHub gỡ xuống.
Một số tệp JavaScript có trong kho lưu trữ GitHub đã được phát hiện là giống hệt với các tập lệnh Emmenthal được sử dụng trong chiến dịch SmokeLoader. Sự khác biệt chính là các đoạn mã độc hại được tải xuống. Cụ thể, các tệp trình tải Emmenhtal trong kho lưu trữ đóng vai trò là vectơ phân phối cho Amadey, AsyncRAT và một bản sao hợp pháp của PuTTY.exe.
Ngoài ra, một tập lệnh Python cũng đã được phát hiện trong kho lưu trữ GitHub. Tập lệnh này có khả năng đại diện cho một sự phát triển của Emmenhtal, kết hợp một lệnh PowerShell được nhúng để tải xuống Amadey từ một địa chỉ IP được mã hóa cứng.
Người ta tin rằng các tài khoản GitHub được sử dụng để dàn dựng các đoạn mã độc hại là một phần của hoạt động MaaS lớn hơn, lợi dụng nền tảng lưu trữ mã của Microsoft cho các mục đích độc hại.
Tiết lộ này được đưa ra khi Trellix công bố chi tiết về một chiến dịch lừa đảo phát tán một trình tải phần mềm độc hại khác có tên là SquidLoader trong các cuộc tấn công mạng nhắm vào các tổ chức dịch vụ tài chính ở Hồng Kông. Các hiện vật bổ sung được nhà cung cấp bảo mật phát hiện cho thấy các cuộc tấn công liên quan có thể đang diễn ra ở Singapore và Úc.
SquidLoader là một mối đe dọa đáng gờm do có nhiều kỹ thuật chống phân tích, chống sandbox và chống gỡ lỗi được tích hợp trong nó, cho phép nó trốn tránh bị phát hiện và cản trở các nỗ lực điều tra. Nó cũng có thể thiết lập giao tiếp với một máy chủ từ xa để gửi thông tin về máy chủ bị nhiễm và chèn đoạn mã độc hại giai đoạn tiếp theo.
Nhà nghiên cứu bảo mật Charles Crofford cho biết: “SquidLoader sử dụng một chuỗi tấn công đỉnh điểm là việc triển khai một đèn hiệu Cobalt Strike để truy cập và kiểm soát từ xa. Các kỹ thuật chống phân tích, chống sandbox và chống gỡ lỗi phức tạp của nó, cùng với tỷ lệ phát hiện thưa thớt, gây ra một mối đe dọa đáng kể cho các tổ chức mục tiêu”.
Các phát hiện này cũng theo sau việc phát hiện ra một loạt các chiến dịch kỹ thuật xã hội được thiết kế để phát tán các họ phần mềm độc hại khác nhau –
- Các cuộc tấn công có khả năng được thực hiện bởi một nhóm có động cơ tài chính được gọi là UNC5952, khai thác các chủ đề hóa đơn trong email để cung cấp các trình thả độc hại dẫn đến việc triển khai một trình tải xuống có tên là CHAINVERB, đến lượt nó, cung cấp phần mềm truy cập từ xa ConnectWise ScreenConnect
- Các cuộc tấn công sử dụng mồi nhử liên quan đến thuế để đánh lừa người nhận nhấp vào một liên kết mà cuối cùng sẽ cung cấp trình cài đặt ConnectWise ScreenConnect dưới vỏ bọc khởi chạy tài liệu PDF
- Các cuộc tấn công sử dụng các chủ đề của Cơ quan Quản lý An sinh Xã hội (SSA) của Hoa Kỳ để thu thập thông tin đăng nhập của người dùng hoặc cài đặt phiên bản trojan của ConnectWise ScreenConnect, sau đó nạn nhân được hướng dẫn cài đặt và đồng bộ hóa ứng dụng Phone Link của Microsoft để có thể thu thập tin nhắn văn bản và mã xác thực hai yếu tố được gửi đến thiết bị di động được kết nối
- Các cuộc tấn công khai thác một bộ công cụ lừa đảo có tên là Logokit để cho phép thu thập thông tin đăng nhập bằng cách tạo các trang đăng nhập giống hệt và lưu trữ chúng trên cơ sở hạ tầng Amazon Web Services (AWS) để bỏ qua việc phát hiện, đồng thời tích hợp xác minh Cloudflare Turnstile CAPTCHA để tạo cảm giác an toàn và hợp pháp sai lầm
- Các cuộc tấn công sử dụng một bộ công cụ lừa đảo tùy chỉnh dựa trên Python Flask khác để tạo điều kiện thuận lợi cho việc đánh cắp thông tin đăng nhập với nỗ lực kỹ thuật tối thiểu
- Các cuộc tấn công có tên mã Scanception sử dụng mã QR trong tệp đính kèm email PDF để hướng người dùng đến các trang thu thập thông tin đăng nhập mô phỏng cổng đăng nhập Microsoft
- Các cuộc tấn công sử dụng chiến thuật ClickFix để cung cấp Rhadamanthys Stealer và NetSupport RAT
- Các cuộc tấn công sử dụng các dịch vụ che giấu dưới dạng dịch vụ (CaaS) như Hoax Tech và JS Click Cloaker để che giấu các trang web lừa đảo và độc hại khỏi các trình quét bảo mật và chỉ hiển thị chúng cho các nạn nhân dự định như một cách để lọt qua radar
- Các cuộc tấn công khai thác HTML và JavaScript để tạo các email độc hại trông thực tế có thể bỏ qua sự nghi ngờ của người dùng và các công cụ phát hiện truyền thống
- Các cuộc tấn công nhắm mục tiêu vào các nhà cung cấp dịch vụ B2B sử dụng các tệp hình ảnh Scalable Vector Graphics (SVG) trong email lừa đảo và nhúng JavaScript bị xáo trộn để tạo điều kiện chuyển hướng đến cơ sở hạ tầng do kẻ tấn công kiểm soát bằng chức năng window.location.href sau khi chúng được mở trong trình duyệt web
Theo dữ liệu do Cofense tổng hợp, việc sử dụng mã QR chiếm 57% số chiến dịch với các Chiến thuật, Kỹ thuật và Thủ tục (TTP) nâng cao vào năm 2024. Các phương pháp đáng chú ý khác bao gồm việc sử dụng các tệp đính kèm lưu trữ được bảo vệ bằng mật khẩu trong email để vượt qua các cổng email an toàn (SEG).
Nhà nghiên cứu Max Gannon của Cofense cho biết: “Bằng cách bảo vệ kho lưu trữ bằng mật khẩu, những kẻ tấn công ngăn SEG và các phương pháp khác quét nội dung của nó và phát hiện ra những gì thường là một tệp độc hại rõ ràng”.
Giải thích thuật ngữ:
- Malware: Phần mềm độc hại, được thiết kế để gây hại cho hệ thống máy tính, đánh cắp dữ liệu hoặc thực hiện các hành động trái phép.
- Ransomware: Một loại phần mềm độc hại mã hóa dữ liệu của nạn nhân và yêu cầu trả tiền chuộc để khôi phục quyền truy cập.
- Phishing: Hành vi lừa đảo người dùng để lấy thông tin cá nhân như tên đăng nhập, mật khẩu hoặc thông tin tài chính bằng cách giả mạo các tổ chức hoặc cá nhân đáng tin cậy.
- Trojan: Một loại phần mềm độc hại ngụy trang dưới dạng phần mềm hợp pháp để xâm nhập vào hệ thống và thực hiện các hành động độc hại.
- MaaS (Malware-as-a-Service): Mô hình kinh doanh trong đó tội phạm mạng cung cấp phần mềm độc hại và cơ sở hạ tầng liên quan cho các bên khác để thực hiện các cuộc tấn công mạng.
- Cybersecurity: An ninh mạng, bao gồm các biện pháp bảo vệ hệ thống máy tính, mạng và dữ liệu khỏi các mối đe dọa mạng.
- Social engineering: Kỹ thuật thao túng tâm lý người dùng để họ tiết lộ thông tin nhạy cảm hoặc thực hiện các hành động có lợi cho kẻ tấn công.
